应用程序不可承受的“风险和漏洞”，让Fortify SCA助您轻松搞定！

常言道：“缝缝补补又三年。”衣服尚且如此，代码就更需要精细的维护和不断推陈出新，以适应社会需求、提升安全性能。

不过，这也给码农的日常工作增加了许多负担。如今，软件开发人员正面临着这些残酷的现实：

构建新特征与新功能日益加剧的复杂性

数不胜数的交付日期

日渐萎缩的预算

产品延期

这些词语无时无刻不在软件开发人员的耳边萦绕，因为这些正是他们在开发重要业务应用程序时所面临的需求。当今的应用程序构建需要满足不计其数的复杂需求，开发人员因此感到顾此失彼，安全性考虑只能退居其次。与此同时，各种威胁不断演变，对手也越来越擅长利用应用程序这一软肋。

统计信息显示

超过84%的安全漏洞发生在应用程序层；

重大Web安全漏洞可影响近乎半数的Web应用程序；

52%的Web应用程序会遇到输入验证、跨站点脚本编写和SQL注入等问题；

33%的应用程序从未经过安全漏洞测试；

为了防止风险和安全漏洞，您可以借助Fortify Static Code Analyzer(SCA)为企业打造代码防护墙，帮助组织抵御当今最大的安全风险——即运行于企业内部的应用程序，拒绝漏洞的产生和发展。

Fortify Static Code Analyzer

Fortify SCA是一款静态应用程序安全性测试(SAST)产品，可供开发团队和安全专家分析源代码，检测安全漏洞。该功能可检查代码，能够帮助开发人员更快更轻松地识别问题并排定问题优先级，然后加以解决。

什么是静态代码分析？

静态代码分析可有效识别源代码中的安全漏洞。静态代码分析应当在开发生命周期的前期完成，并且应持续贯穿应用程序的整个生命周期。它能够在开发过程中就代码中出现的问题快速向开发人员提供反馈。Fortify SCA可助力开发人员：

提前并经常性地扫描源代码

将漏洞的根本原因锁定到代码行

关联结果并对其进行优先级排序

加快开发速度并缩短扫描时间

快速修复安全漏洞

审视最佳实践，帮助开发人员以更安全的方式进行编码

Fortify的软件安全漏洞分类

谈到软件安全，目前对何谓重大漏洞尚没有统一的标准。众多组织都发布了自己对严重漏洞的解读，这导致对标准产生了认知差异和疑惑。为了帮助开发人员了解导致安全漏洞的常见编码错误类型，Fortify编写了软件开发七宗罪(The Seven Pernicious Kingdoms)， 在其中统一了漏洞的组织分类，并将它们对应到OWASP、SANS、CWE和FISMA等标准中。

作为一家业界公认的顶尖安全组织，Fortify安全研究团队是一支监控新型威胁全球团队。他们会以漏洞检查的形式将收集到的知识输送到Micro Focus Security Fortify产品套件中， 确保及时检测出最新的威胁。该团队创建了一套漏洞类别分类规则，力求帮助开发人员了解各种影响应用程序的安全漏洞。

Micro Focus始终以饱满的热情为企业营造安全环境，打造值得信赖的软件，让企业放心的开展业务。